DNS建置与维护

DNS建置與維護,台灣大學計資中心邵喻美.tw,Outline,DNS概念BIND介紹實例解說,PartI,DNS概念,DNS概念,DNS簡介DNS運作原理DNS建置與規劃,DomianNameService,IP位址vs.主機名稱應用程式與底層網路間的middleware最基本的網路應用程式user-friendlyvs.router-friendly,DNS簡介,DNS的前身hosts.txtnotscalableHierarchicalvs.Flatnamespace,DNS架構,大型分散式資料庫複製與快取主從式架構名稱伺服器（domainnameserver）解析程式（resolver）結構類似於Unix檔案系統Invertedtree,DNS運作原理,DomainNameSpaceTheinvertedtreeInternetDomainNameSpacegTLD(genericTop-LevelDomain)DomainNameThepathofaninvertedtree:fromleaftorootFullyQualifiedDomainName(FQDN),Info,DomainAsubtreeindomainnamespace包含所有領域名稱屬於該領域的主機一個領域名稱可屬於多個領域,授權（Delegate）將domain劃分為sub-domain並將管理權責交給其他組織ZoneNameserver管理domainnamespace中某部分的完整資訊以授權劃分範圍,名稱伺服器的種類,Primaryserver從檔案讀取zonedataAuthoritativeforzonesinchargeSecondaryserver從另一個負責該zone的nameserver取得zonedataAuthoritativeforzonesinchargeCaching-onlyserverlookupingupdataandcachingthemNotauthoritativeforanydomains()zonetransfer,NameResolution,Nameserver除了回答負責區域內的資料外，也可在整個domainnamespace中找尋其他區域的資料RecursiveresolutionServer必須提供查詢結果IterativeresolutionServer只提供已知的最佳答案,ReverseQuery,MappingaddressestonamesDomainnamespace以domainname為domain:以address為nodelabel,Caching機制,在nameresolution過程中得知的zoneauthorization資訊會被cache下來縮短nameresolution的程序NegativecachingZonedata的TTL,DNS建置與規劃,軟體架設平台硬體配置記憶體網路卡配合網路架構架設DNS多台DNS供backup,PartII,BIND介紹,BIND介紹,ISCBIND(BerkeleyInternetNameDomain)BIND安裝BIND設定DNSResourceRecords,BIND安裝,下載BINDISCBind最新版是9.2.1(releasedonMay1,2002)，但BIND8仍被廣泛使用（最新版是8.3.2,releasedonJune19,2002）支援中文的dns:.tw安裝BIND從/products/BIND/下載解壓縮zcatbind-src.tar.gz|tarxfCompile:./configuremake啟動/usr/sbin/named（通常設定檔預設位置是/etc/named.conf）啟動時指定設定檔位置/usr/sbin/namedc/somewhereelse/named.conf,BIND設定,設定檔named.conf定義負責區域（zone）及運作設定accesscontrollistcategorizedloggingOptionscanappliedtozonesselectively設定行及註解設定行以分號結束註解以#或/為行首,設定行選項,acl定義一個IP位址表列，用於存取控制及其他用途logging指定nameserver將記錄何種資訊，以及儲存於何處options控制全面性的server設定選項，並設定其他控制行的預設值zone定義zonedata,#AsimpleBIND8configurationloggingchannelSEC_logfile“/var/log/dns-security.log”versions3size10m;severityinfo;categorysecuritySEC_log;categorylame-serversnull;aclNTU-Campuslocalhost;/16;optionsdirectory/var/named;allow-queryNTU-Campus;allow-recursionNTU-Campus;/forBIND9allow-transfernone;,.twintypemaster;filemaster/dns.ntu;allow-queryany;allow-transfer;/可能是其他secondarynameserver;.tw”intypeslave;fileslave/dns.ntu.cc;masters;allow-queryany;ypehint;filenamed.cache;intypemaster;filemaster/127.0.0;,DNSResourceRecords,SOArecordsStartOfAuthorityDNS資料檔中的第一筆資料，也是唯一一筆SOArecordExample:.tw.INSOA.tw.(2002070101;Serial10800;Refreshafter3hours3600;Retryafter1hour604800;Expireafter1week86400);MinimumTTLof1day*時間若無指定單位則以秒計,亦可指定M(分),H(時),D(日),W(週)等單位,NSrecordsNameServer設定zone的nameserverExample:.tw.INNS.twINNS.tw.,ArecordsAddressCNAMErecordsA.tw.INA.tw.INA.tw.INA.tw.INCNAME.tw.,PTRrecordsAddress-to-namemapping每個address只能指向一個正式名稱40.INPTRINPTR.tw.,MXRecords用來控制email傳遞順序MXrecord中包含domainname和priorityPriority較低者優先，若多筆MXrecords的priority相同，則隨機選擇Example:.INMX10.INMX10.INMX20.INA.INA,Loopbackaddress代表loopbacknetwork的反解檔案Loopbacknetworkis127.0.0,.INSOA.tw.(2001071701;serial86400;refresh3600;retry870000;expire127800);.INNS.INPTRlocalhost.,RootCacheDataThenameserverofrootdomain,.3600000INNSA.ROOT-SERVERS.NET.A.ROOT-SERVERS.NET.3600000A.3600000NSB.ROOT-SERVERS.NET.B.ROOT-SERVERS.NET.3600000A07.3600000NSC.ROOT-SERVERS.NET.C.ROOT-SERVERS.NET.3600000A2.3600000NSD.ROOT-SERVERS.NET.D.ROOT-SERVERS.NET.3600000A0.3600000NSE.ROOT-SERVERS.NET.E.ROOT-SERVERS.NET.3600000A0.3600000NSF.ROOT-SERVERS.NET.F.ROOT-SERVERS.NET.3600000A41.3600000NSG.ROOT-SERVERS.NET.G.ROOT-SERVERS.NET.3600000A.3600000NSH.ROOT-SERVERS.NET.H.ROOT-SERVERS.NET.3600000A3.3600000NSI.ROOT-SERVERS.NET.I.ROOT-SERVERS.NET.3600000A7.3600000NSJ.ROOT-SERVERS.NET.J.ROOT-SERVERS.NET.3600000A0.3600000NSK.ROOT-SERVERS.NET.K.ROOT-SERVERS.NET.3600000A29.3600000NSL.ROOT-SERVERS.NET.L.ROOT-SERVERS.NET.3600000A2.3600000NSM.ROOT-SERVERS.NET.M.ROOT-SERVERS.NET.3600000A3,MaintainingBIND,ReloadnameserverkillHUPUpdatingdbfilesIncreaseSOAserialnumbersStartingoverwithanewserialnumbersynchronizingtheserialnumberatzerocleanupzonedataonslaveserver,thenrestartKeepingrootcachedatacurrentCheckrootcachefileeverymonthortwodiga.root-.nsdb.cache,BINDlogging,channel指定loggin資料存放處：syslog,file,orstderrmessageseverity：critical,error,warning,notice,info,debuglevel,dynamiccategories指定將log何種資料每個category的資料可被送往一或多個channel,loggingchannelmy_syslogsyslogdaemon;severityinfo;channelmy_filefile“log.msgs”;severitydynamic;categorydefaultnull;categorystatisticsmy_syslog;my_file;categoryqueriesmy_file;,容易發生的錯誤,忘記增加serialnumberUpdatenameserver後忘記reloadSlaveserver無法載入zonedata資料庫檔案中加入名稱，但忘記加上PTRrecord設定檔或DNS資料庫檔案文法錯誤,DNS資料庫檔案中，名稱最後忘記加上句點忘了放上cachedata網路連接中斷遺漏子領域授權錯誤的子領域授權,BIND進階設定,利用addressmatchlist和ACL控制存取權限acl“NTU-Campus”/16;ZoneChangeNotifynotifynoalso-notifyDNSdynamicupdateallow-update,維護nameserver的安全性,更新BIND版本並隨時修補漏洞利用AccessControlList設定存取權限限制查詢allow-query避免未經授權的zonetransferallow-transfer設定提供服務的程度recursionyes/noallow-recursion-availableonbind9拒絕提供服務blackhole,aclbogusnets/8;/8;/24;aclout-nets/16;Options.allow-queryour-nets;allow-transfernone;allow-recursionour-nets;.blackholebogusnets;.;Zone“.tw”typemaster;file“ntu.db”;allow-queryany;allow-transfer;,Troubleshootingnameserver,從logfile找線索例如：/var/adm/messages利用nslookup或.twA.twnslookupiterativeornon-iterative查詢不同的資料型態setq=xxx(xxx=A,PTR,NS)透過其他nameserver查詢ServerZonetransferls檢視查詢和回應的封包setdebug,taurus%.twA.tw;DiG9.1.2.twA.tw;globaloptions:printcmd;Gotanswer:;-HEADER44.112.140.Server:.twAddress:Non-authoritativeanswer:44.112.140.nameserver=.twAuthoritativeanswerscanbefoundfrom:.twinternetaddress=80-40..Server:.twAddress:Non-authoritativeanswer:0-40.nameserver=.twAuthoritativeanswerscanbefoundfrom:.twinternetaddress=,settype=ptrServer:.twAddress:Non-authoritativeanswer:40.canonicalname=9.0-40.name=JJLnameserver=.twinternetaddress=,rootaquarius2:46pmns